Webアプリケーション脆弱性検査ツール「Vex」の導入事例｜サイボウズ様

セキュリティ向上のためにサイボウズが取り組む脆弱性報奨金制度

サイボウズは延べ400万人以上のビジネスユーザーが利用するクラウドサービス及びパッケージ製品を取り扱う事業者として“お客様の情報資産を保護する”ことを最重要課題とし、各種セキュリティ施策を行っています。特徴的な施策の一つである「脆弱性報奨金制度」は、サイボウズが提供するサービスに存在する脆弱性を早期に発見し改修することを目的とする制度です。社内の力のみでは発見できない未知の脅威を外部の協力者の力を借りて早期に発見し、製品の品質を向上させようとするもので、2013年の試行期間を経て2014年から常設しています。
サイボウズではバグハンターと呼んでいる一般ユーザーを対象に、本番環境への影響を考慮せず検査を行うための「脆弱性検証環境提供プログラム」を用意。報告された脆弱性の深刻度に応じて一定の報奨金をお支払いしています。またご協力いただいた方のお名前や報告内容は、コーポレートサイト内「サービスの品質向上にご協力いただいた皆様」というページにて公開しています。

2014年に報告いただいた脆弱性の件数は241件、そのうち脆弱性として認定されたものは158件、報奨金総額は700万円でした。2015年は報告件数208件、認定は119件、報奨金総額は448.2万円となりました。この制度により、2013年と2014年を比べると脆弱性認定件数は約7倍に増えており、報奨金制度に大きな効果があることを実証できています。
基本的な検査、製品仕様の理解、ソースコード解析などの自社施策と、報奨金制度による発見が相互補完することでサイボウズのセキュリティ向上を実現しています。

Vexが検査ツールとして初めて脆弱性を報告

検査ツールVexを導入したのは、この脆弱性報奨金制度がきっかけです。

バグハンターを対象としたこの制度に対して、ツールであるVexがどこまで挑めるか試させてほしいというお問い合わせをユービーセキュアさんからいただきました。企業の参加は前例のないことでしたが、セキュリティ向上を目指す意味では是非チャレンジしたい事案でしたので、制度のルールを一部変更しご参加いただきました。
結果、Vexが検出した複数の脆弱性をご報告いただきました。検査ツールのみでここまで検出できるのかと驚いたのが正直なところです。過去、他の自動検査ツールを利用したことはありましたが、検出内容が十分ではありませんでした。そのため、近年は補助ツールを利用した手動検査が主となっておりましたが、作業効率化が図れ、かつ検出内容が優れた検査ツールを引き続き求めていたこともあり、この機会にVexの導入を全社で検討することとなりました。

まずはご来訪いただきVexについての概要・機能について詳しくご説明いただいた上で、試用を開始。試用時には、操作性、既知の脆弱性の検出具合、誤検出の程度、報告書の見やすさを重視して評価しました。
その結果、通常サイボウズで行っている検証項目を含め、多岐にわたった項目が検出可能でした。また、レポートが充実しており分かりやすいことも導入の決め手となりました。送信したリクエストの確認や検出された脆弱性の詳細が出力される点、脆弱性に関する影響や対処方法の記載があり理解しやすい点などが評価したポイントです。日本語で詳しく説明されているので、検査担当者が内容をしっかり理解した上で、開発者へフィードバックできるようになりコミュニケーションもスムーズになると予想できました。
導入検討から導入までに要した期間は半年ほどです。稼働前に検査担当者がVexの操作トレーニングを受講しましたが、このことが実際の試験に非常に役立ちました。特にサイボウズのような仕組みが複雑なアプリケーションの検査を実現するハンドラー機能など細かな操作まで知ることが出来るため、操作トレーニングはVexを利用する際には欠かせないものだと感じました。

手動による検証とVexの相互補完により高い効果を実現

検査フローに大きな変化はなく導入はスムーズに行えましたが、近年の検査はすべて手動で実施していたため検査方法は大きく変わりました。
まず、診断パターン数が圧倒的に増えたことが上げられます。手動による検査の場合、なるべく少ないパターンでより効率の良い検査を行う必要があります。そのため、製品の作りとして効果の薄い検査については、検査パターンから除外することがありました。Vexの場合、数千という検査パターンのリクエストで検査できますし、担当者の技術力に頼らない検証が可能なため、結果にムラがなくなります。また、パラメーターに対して一つ一つ攻撃コードを入力する必要がある脆弱性(クロスサイトスクリプティング・SQLインジェクション)についても見落としがなくなります。多様な脆弱性のシグネチャも用意されており、かつシグネチャの更新頻度も高いため新しい技術に対応した検査ができることも効果の一つです。

また、VexはWeb上で動作するため情報共有や検査データの一元管理が可能となりました。疑問点や検査項目のレビュー等、他拠点とのやり取りが円滑にできています。
ほかにも、Vexは決まった検査項目だけでなく、希望の検査方法にカスタマイズできるところも特徴です。サイボウズ仕様にカスタマイズすることができるので今後ますます活躍する機会は増えると思います。
導入以降、ユービーセキュアさんには頻繁に問い合わせをさせていただいていますが、その都度迅速に対応いただき、要望についても対応可能な点については取り入れていただいています。その分今後の期待も大きく、クライアントサイドで発生する脆弱性に対する検出精度の向上など、更なるグレードアップを望んでいます。
Vexを導入することで、従来の検査方法では検出できなかった脆弱性も検出できるようになりました。これからもサイボウズ社内での手動検査、フローの精査、情報共有等と、Vexによるムラのない検査との相互補完により、高いセキュリティレベルの向上を実現し続けたいと思います。
今後とも安心して利用できる検査ツールを開発していただきたいです。

サイボウズ株式会社様 社内風景